圖片來源: 

iThome

0627-0703 一定要看的資安新聞

 

#國家級攻擊  #資料外洩

二次傷害!銓敘部外洩個資出現在LINE即時通訊群組

日前銓敘部傳出59萬筆公務人員個資外洩,影響超過24萬名人員,相關單位正在進行調查的同時,卻驚傳坊間有人特別標示出國安局等情治人員的真實身分,並在LINE群組流傳。

不具名資安專家表示,目前網路上流傳的外洩個資檔案名稱為TSDM2.txt,內容有589,991筆個資,檔案的編碼是簡體中文,因此推測,這個檔案應該是中國多個論壇整理過後才流出的資料。該名專家表示,嚴格說來,中國政府應該早就已經掌握這份公務人員的個資檔案了。

行政院資安處處長簡宏偉表示,目前這起事件已經由調查局立案偵辦,基於調查不公開原則,不方面做相關評論。詳全文

圖片來源/iThome

 

#漏洞攻擊  #供應鏈攻擊

華為設備韌體55%含有潛在後門

專精於物聯網(IoT)裝置安全的美國資安業者Finite State,針對華為設備所使用的韌體進行地毯式分析,他們在近1萬款韌體映像檔中,發現其中有55%含有潛在的後門,該公司宣稱這是第一份證實華為設備含有潛在後門的研究報告。

Finite State利用自家系統,分析了華為9,936款韌體中150萬個檔案,這些韌體運用於華為558款企業級網路產品。結果發現,每個韌體映像檔平均存在102個已知漏洞,漏洞普遍來自於所使用的外部函式庫。所有的功能呼叫中,採用安全機制比例低於17%。詳全文

 

#國家級攻擊

五眼聯盟入侵俄羅斯搜尋引擎龍頭Yandex

根據路透社報導,駭客2018年底入侵了俄羅斯最大的搜尋引擎業者Yandex,並植入Regin惡意程式,企圖監視特定的使用者帳號,而Regin則是西方情報組織五眼聯盟(Five Eyes)常用的攻擊工具。

駭客是在去年10月與11月之間入侵Yandex,但不確定是由五眼聯盟中的哪個國家所主使,Yandex只向路透社坦承遭駭,而拒絕提供其他細節。詳全文

 

#國家級攻擊  #勒索軟體攻擊

美地方政府再向發動勒索軟體攻擊的駭客低頭!佛州湖市打算支付比特幣解鎖

美佛羅里達州湖市(Lake City)在6月10日遭到勒索軟體襲擊,市議會在24日召開緊急會議,決定支付駭客要求的42個比特幣贖金,成為繼里維埃拉海灘(Riviera Beach)之後,該州第二個支付勒索贖金的城市。

在勒索軟體攻擊之下,使得該市的電子郵件系統、多數市內電話,以及其他網路服務幾乎無法運作,僅供警方及火災等公共安全的網路因被隔離而未受波及。

湖市被駭一周後收到駭客通知,要求以42個比特幣來換取解密金鑰,該市在權衡利弊之後,決定與駭客妥協。當地的城市經理向First Coast News透露,如果真能解密檔案與資料,將會節省恢復IT系統的時間與金錢,而此金額將由該市的保險業者Florida League給付。

資安業者Recorded Future曾於5月提醒,鎖定美國地方政府的勒索軟體攻擊有逐漸增加的趨勢,在2016年發生46起,到了2017年雖然下滑至38起,但2018年又竄升到53起,而光是在今年的前4個月,就有21起相關的攻擊行動。詳全文

 

#漏洞攻擊  #無線網路攻擊

美敦力召回存在被駭風險的胰島素泵浦

全球最大醫療科技公司之一的美敦力(Medtronic)宣布召回MiniMed 508與MiniMed Paradigm系列胰島素泵浦,原因是這些裝置含有安全漏洞,有機會讓駭客竄改裝置設定並控制胰島素的輸送,波及用戶病情,美國食品暨藥物管理局(FDA)也特別提出警告。

根據估計,美國大約有4,000名糖尿病患者使用上述含有漏洞的胰島素泵浦,但美敦力並未公布相關產品的全球銷售狀況,僅表示目前並未接獲任何惡意竄改泵浦設定,或控制胰島素輸送的情事。詳全文

圖片來源/美敦力

 

#資料外洩  #物聯網裝置安全  #公有雲配置不當

中國智慧家庭設備業者洩露20億筆用戶資料

資安公司vpnMentor在網路上發現一個公開資料庫,持有者是中國智慧家庭設備廠商歐瑞博(Orvibo),資料庫裡共存放了20億筆資料,內容包含多個國家的用戶名稱、連網裝置、密碼,以及精確定位座標等記錄。

歐瑞博是總部位於中國深圳的智慧家庭製造商,產品線包括智慧插座、Wi-Fi攝影機、溫控裝置,以及溫濕度感測器等,宣稱擁有100萬個客戶,涵蓋公司行號與家庭用戶,其產品也在臺灣銷售。

這次外洩的資料顯示,歐瑞博對用戶資料蒐集得鉅細靡遺。研究人員指出,這些外洩資訊足以讓得手的攻擊者竄改用戶個人資料,永遠讓用戶無法存取帳號,或是追蹤用戶的詳細位置,甚至變更智慧插座的設定,造成爐具在家中無人時啟動引發意外。

研究人員於6月16日首度聯絡歐瑞博,隨後再到該公司推特留言,但都沒有接獲回應,也未修補系統漏洞。研究人員表示情況允許的話,會考慮直接聯絡受害用戶。詳全文

 

#網路釣魚攻擊

網路釣魚出新招:把惡意連結藏在QR Code

許多企業都會掃描電子郵件中所嵌入的URL,企圖攔截惡意連結。然而,專門防禦網路釣魚的資安業者Cofense指出,他們最近發現了新一波的網釣攻擊,把惡意連結藏匿在QR Code中以躲避偵測,很可能是史上頭一遭濫用QR Code來夾帶惡意連結的網釣手法。

這波的網釣攻擊是假冒來自SharePoint的電子郵件,邀請受害者掃描QR Code來開啟文件,QR Code的內容是偽裝成SharePoint的網釣網站,要求使用者透過AOL、微軟或其他服務的帳號登入,開啟文件。

Cofense認為,過去QR Code是受到技客青睞的先進技術,現在的相關應用則愈來愈普及,而未來它是否會成為網釣攻擊的趨勢,仍有待觀察。詳全文

 

#網路釣魚攻擊

高階攻擊工具隨手可得,網路釣魚攻擊將更難防範

資安業者Cyren指出,網釣即服務(Phishing-as-a-Service,PaaS)與其攻擊套件的盛行,讓業餘駭客也能取得高級的閃避偵測技術,以逃過電子郵件安全系統的掃描,估計目前在黑市所銷售的網釣套件中,就有87%含有至少一項的閃避技術。

Cyren觀察到愈來愈多的PaaS具備可閃避偵測的機制,這些擁有高階技術的網釣攻擊開發者,採用服務型態的商業模式,使得業餘駭客能以低成本取得閃避安全偵測的技術。

根據微軟所發表的《安全情報報告》,網路釣魚為駭客執行攻擊的首選之一,2018年內含網釣訊息的電子郵件比例增加了250%。Osterman Research的調查則顯示,2018年有44%的企業曾遭受過至少一次網釣攻擊,高於2017年的30%。詳全文

圖片來源/擷取自Cyren

 

更多資安動態

Google為商用版Gmail增加安全沙箱防護
強化學習破解第三代reCAPTCHA圖靈驗證系統
Elastic Stack 7.2首度納入資安事件管理平臺模組
美中貿易戰出現轉機,川普同意華為可購買美國技術
蘋果隱私簽入機制規格未標準化隱含資安風險
2019年6月十大資安新聞回顧

熱門新聞

Advertisement